Onderzoek dat de Autoriteit Persoonsgegevens (AP) deed naar logging, monitoring en autorisatiebeheer binnen de Belastingdienst wordt niet openbaar gemaakt. Dat schrijft demissionair staatssecretaris Heijnen van Financiën in een brief aan de Tweede Kamer. De Belastingdienst staat sinds 2024 onder verscherpt toezicht van de Autoriteit Persoonsgegevens.

"Het doel is om de bescherming van persoonsgegevens te verbeteren en ervoor te zorgen dat de Belastingdienst voldoet aan de AVG. De AP geeft advies, doet onderzoek en controleert of de Belastingdienst de regels volgt. Het toezicht gaat onder meer over risicomodellen, de privacyorganisatie en de interne organisatiecultuur", aldus de privacytoezichthouder over het toezicht, dat vijf jaar duurt.

Aan het begin van elk jaar dat de Belastingdienst onder toezicht staat maakt de AP in een jaarplan bekend wat het aankomende jaar bij het toezicht de prioriteit krijgt. Voor 2025 was dat onder andere de controle op logging bij de fiscus. Veel van de applicaties die de Belastingdienst gebruikt zijn niet voorzien van logging en monitoring, zo maakte voormalig staatssecretaris Van Oostenbruggen van Financiën vorig jaar bekend. Eerder meldde NRC dat de Belastingdienst niet in staat is om alle acties die medewerkers op systemen uitvoeren te loggen, wat onderzoek naar corrupt personeel hindert.

"Autorisatiebeheer, logging en controle op de logging zijn essentiële maatregelen om persoonsgegevens te beschermen en te beveiligen. De kans op ondermijning neemt toe als deze maatregelen ontbreken, of ontoereikend zijn toegepast. In dit project gaat de AP na wat de stand van zaken is op dit punt bij de Belastingdienst", aldus de Autoriteit Persoonsgegevens in het jaarplan 2025.

In een brief over het toezicht op de Belastingdienst bespreekt Heijnen ook het onderzoek dat de AP vorig jaar deed naar logging, monitoring en autorisatiebeheer. "Centraal in het onderzoek stond de mate waarin de Belastingdienst voldoet aan de verplichting om een passend beveiligingsniveau te waarborgen voor de verwerking van persoonsgegevens, specifiek door toepassing van bovengenoemde beveiligingsonderdelen", legt de bewindsman uit.

Niet openbaar

Begin januari heeft de Autoriteit Persoonsgegevens de conclusies van het onderzoek met de Belastingdienst gedeeld, alsmede welke maatregelen de fiscus naar aanleiding van het onderzoek moet nemen. Ook de staatssecretaris werd door de toezichthouder ingelicht, maar de uitkomsten van het onderzoek en de reactie van het kabinet hierop worden niet openbaar gemaakt. "In het kader van informatiebeveiliging en weerbaarheid ontvangt u de bevindingen van de AP en mijn reactie hierop, als vertrouwelijke bijlage bij deze Kamerbrief. Deze bijlage heb ik bij uw Kamer ter inzage gelegd", schrijft Heijnen in de brief aan de Tweede Kamer. Wel laat de AP weten dat het dit jaar gaat monitoren of de Belastingdienst de noodzakelijke maatregelen heeft uitgevoerd.